IG1 IG2 IG3

Tetapkan Proses Pencabutan Akses

Kelompok Kontrol: 6. Manajemen Kontrol Akses

Jenis Aset: Pengguna

Fungsi Keamanan: Lindungi

Deskripsi

Tetapkan dan ikuti proses, sebaiknya otomatis, untuk mencabut akses ke aset perusahaan, melalui penonaktifan akun daripada penghapusan, saat karyawan berhenti, hak kedaluwarsa, atau perubahan peran yang tidak lagi memerlukan akses. Menonaktifkan akun, bukan menghapus, mungkin diperlukan untuk melestarikan jejak audit.

Daftar Periksa Implementasi

1

Aktifkan pencatatan log pada semua sistem dalam lingkup

2

Konfigurasikan penerusan log ke SIEM terpusat

3

Tentukan periode retensi log sesuai kebijakan

4

Tetapkan jadwal dan prosedur peninjauan log

Rekomendasi Alat

SailPoint Identity Security Gartner MQ Leader, IGA 2024

Platform tata kelola dan administrasi identitas dengan sertifikasi akses, manajemen siklus hidup, dan intelijen akses berbasis AI

SailPoint · Langganan per identitas

Microsoft Entra ID Gartner MQ Leader, Access Management 2024

Manajemen identitas dan akses cloud dengan SSO, MFA, akses bersyarat, dan tata kelola identitas

Microsoft · Langganan per pengguna (P1/P2)

Okta Workforce Identity Gartner MQ Leader, Access Management 2024

Platform identitas cloud yang menyediakan SSO, MFA adaptif, manajemen siklus hidup, dan manajemen akses API

Okta · Langganan per pengguna

Ancaman & Kerentanan (CIS RAM)

Skenario Ancaman

Karyawan yang Diberhentikan Mempertahankan Akses Sistem

Confidentiality

Karyawan yang diberhentikan mempertahankan akses ke sistem perusahaan selama berhari-hari atau berminggu-minggu setelah kepergian karena tidak ada proses pencabutan, memungkinkan pencurian data atau sabotase sebagai pembalasan.

Akses Kontraktor Tetap Ada Setelah Keterlibatan Berakhir

Confidentiality

Akun kontraktor pihak ketiga tetap aktif tanpa batas waktu setelah keterlibatan mereka berakhir karena tidak ada proses pencabutan yang memicu pencabutan penyediaan saat hubungan bisnis berakhir.

Akumulasi Hak Istimewa Tanpa Pencabutan pada Perubahan Peran

Integrity

Pengguna yang berganti departemen atau peran mempertahankan akses sebelumnya selain izin peran baru, secara bertahap mengumpulkan hak istimewa berlebihan di seluruh perusahaan.

Kerentanan (Saat Pengamanan Tidak Ada)

Tidak Ada Proses Pencabutan Akses Formal

Tanpa proses yang ditetapkan untuk mencabut akses saat pemberhentian atau perubahan peran, akun tetap aktif dan memiliki hak istimewa lama setelah otorisasi pengguna berakhir.

Tidak Ada Integrasi Antara HR dan TI untuk Pencabutan Penyediaan

Tanpa tautan otomatis atau prosedural antara peristiwa pemberhentian HR dan pencabutan penyediaan akun TI, tidak ada pemicu untuk menonaktifkan akun saat pengguna meninggalkan organisasi.

Persyaratan Bukti

Jenis	Item Bukti	Frekuensi Pengumpulan
Teknis	Dasbor SIEM yang menunjukkan sumber log dan status pengumpulan	Diambil setiap bulan
Catatan	Catatan peninjauan log dan temuan	Setiap siklus peninjauan
Dokumen	Dokumen kebijakan yang mengatur (terkini, disetujui, dikomunikasikan)	Ditinjau setiap tahun

Templat Kebijakan Terkait

Kebijakan Manajemen Akun dan Kredensial

Control 5, Control 6

Pengamanan Terkait di Kontrol 6

6.1 Tetapkan Proses Pemberian Akses

6.3 Wajibkan MFA untuk Aplikasi yang Diakses secara Eksternal

6.4 Wajibkan MFA untuk Akses Jaringan Jarak Jauh

6.5 Wajibkan MFA untuk Akses Administratif

6.6 Tetapkan dan Pelihara Inventaris Sistem Autentikasi dan Otorisasi

6.7 Sentralisasi Kontrol Akses

6.8 Definisikan dan Pelihara Kontrol Akses Berbasis Peran